应用层DDoS的防御理论：

　　问题模型描述：

　　每一个页面，都有其资源消耗权重，静态资源，权重较低，动态资源，权重较高。对于用户访问，有如下：

　　用户资源使用频率=使用的服务器总资源量

　　命题一：对于正常访问的用户，资源使用频率必定位于一个合理的范围，当然会存在大量正常用户共享ip的情况，这就需要日常用户访问统计，以得到忠实用户ip白名单。

　　命题二：资源使用频率持续异常的，可断定为访问异常的用户。

　　防御体系状态机：

　　1.在系统各项资源非常宽裕时，向所有ip提供服务，每隔一段时间释放一部分临时黑名单中的ip成员;

　　2.在系统资源消耗达到某一阈值时，降低Syn包接受速率，循环：分析最近时间的日志，并将访问异常的ip加入临时黑名单;

　　3.若系统资源消耗慢慢回降至正常水平，则恢复Syn包接受速率，转到状态1;若目前策略并未有效地控制住系统资源消耗的增长，情况继续恶劣至一极限阈值，转到状态4;

　　4.最终防御方案，使用忠实用户ip白名单、异常访问ip黑名单策略，其他访问可慢慢放入，直到系统资源消耗回降至正常水平，转到状态1。

　　上述的防御状态机，对于单个攻击IP高并发的DDOS，变化到状态3时，效果就完全体现出来了，但如果防御状态机进行到4状态，则有如下两种可能：

　　1.站点遭到了攻击群庞大的、单个IP低并发的DDOS攻击;

　　2.站点突然间有了很多访问正常的新用户。